簡記網絡犯罪分子是如何對目標下手的
在這篇文章中,我們將介紹攻擊者在入侵企業網絡時會采取的一些初始攻擊方法。針對企業分段網絡的網絡攻擊分為幾個危險的階段,企業遇到的第一個安全問題,歸根結底就是對系統的初始訪問權。在這一點上,網絡攻擊這的目標就是用一系列惡意代碼感染目標系統,并確保它可以在之后的攻擊活動中成功執行。
Drive-by Download
描述:這種攻擊技術的要點就是欺騙受害者打開一個惡意網站,而這個網站包含了各種瀏覽器/插件的漏洞利用代碼以及惡意JavaScript文件,當用戶打開網站之后,惡意代碼會在用戶毫不知情的情況下將惡意軟件下載到目標用戶系統上。
如何保護自己?
保證Web瀏覽器和插件全部更新到最新版本,并運行反惡意軟件解決方案。微軟建議用戶使用EMET和WDEG。
利用熱門應用程序
描述:這種方法需要利用應用程序中已知的安全漏洞、錯誤配置或其他故障(例如SSH網絡服務、Web服務器和SMB2等等),OWASP會定期更新并發布排名前十的Web應用程序安全漏洞報告。
如何保護自己?
硬件添加
描述:計算機、網絡設備和計算機附加組件可能會帶有隱藏的硬件組件,這些組件的任務就是提供初始訪問權。無論是開源產品還是商用產品都會包含隱藏網絡連接、用于破解加密的MITM攻擊功能、鍵盤記錄、通過DMA讀取內核內存數據以及添加新的無線網絡等隱藏功能,而攻擊者正好可以利用這些隱藏功能來實現攻擊。
如何保護自己?
- 采用網絡訪問控制策略,例如設備憑證和IEEE 802.1X標準;
- 限制DHCP的使用,只允許已注冊的設備使用;
- 屏蔽未注冊的設備進行網絡交互;
- 使用主機保護機制來禁用未知的外部設備;
可移動媒介
描述:這項技術可以利用autorun功能來執行惡意代碼。為了欺騙用戶,攻擊者會修改或重命名合法文件,然后將其拷貝到可移動驅動器中。除此之外,惡意軟件還可以嵌入到可移動媒介中。
如何保護自己?
- 禁用Windows的自動運行功能;
- 修改企業的安全策略,限制可移動媒介的使用;
- 使用反病毒軟件;
網絡釣魚-郵件附件
描述:這種技術需要利用網絡釣魚郵件來傳播惡意軟件。電子郵件正文的內容通常是一些看似合理的內容,但是當用戶打開郵件中的附件時,情況可就不同了。
如何保護自己?
- 使用入侵檢測系統(IDS)以及反病毒套件來掃描電子郵件中可能存在的惡意附件,并將其屏蔽或移除。
- 配置安全策略來屏蔽特定格式的電子郵件附件。
- 培訓員工如何識別并避免打開釣魚郵件。
網絡釣魚-惡意鏈接
描述:網絡犯罪分子可能會在釣魚郵件中嵌入惡意鏈接來欺騙用戶下載惡意軟件。
如何保護自己?
- 仔細檢查電子郵件發件人以及嵌入的URL地址;
- 使用IDS和反病毒軟件;
- 培訓員工,增強網絡釣魚安全意識;
供應鏈攻擊
描述:在這種技術中,攻擊者會在產品的供應鏈環節中將各種后門、漏洞利用腳本和黑客工具注入到硬件或軟件中。可能的攻擊向量如下:
- 篡改軟件部署工具和環境參數;
- 濫用源代碼庫;
- 干擾軟件升級和分發機制;
- 入侵開發系統鏡像;
- 修改合法軟件;
發布假冒/修改版產品
不過在上述手段中,攻擊者一般只會攻擊軟件分發和升級機制。
如何保護自己?
- 使用SCRM和SDLC管理系統;
- 運行持續性的承包商安全審查;
- 嚴格限制供應鏈內的訪問操作;
- 審查和控制二進制文件的完整性;
- 掃描分發包中的病毒;
- 在部署前測試所有軟件和更新包;
- 檢查購買的硬件或軟件是否被篡改過(MD5或SHA1);
